Proteja pastas importantes com acesso controlado a pastas

Aplica-se a:

• Plano 1 do Microsoft Defender para Ponto de Extremidade
• Plano 2 do Microsoft Defender para Ponto de Extremidade
• Microsoft Defender XDR
• Microsoft Defender Antivírus

Aplica-se a

• Windows

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

O que é o acesso controlado à pasta?

O acesso controlado à pasta ajuda a proteger seus dados valiosos contra aplicativos mal-intencionados e ameaças, como ransomware. O acesso controlado à pasta protege seus dados verificando aplicativos em uma lista de aplicativos conhecidos e confiáveis. Com suporte em clientes Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022, Windows 10 e Windows 11, o acesso controlado à pasta pode ser ativado usando o aplicativo Segurança do Windows, o Microsoft Endpoint Configuration Manager ou Intune (para dispositivos gerenciados).

Observação

Os mecanismos de script não são confiáveis e você não pode permitir que eles acessem pastas protegidas controladas. Por exemplo, o PowerShell não é confiável pelo acesso controlado à pasta, mesmo que você permita com indicadores de certificado e arquivo.

O acesso controlado à pasta funciona melhor com Microsoft Defender para Ponto de Extremidade, o que fornece relatórios detalhados sobre eventos e blocos de acesso controlados à pasta como parte dos cenários habituais de investigação de alerta.

Dica

Os blocos de acesso de pastas controladas não geram alertas na fila Alertas. No entanto, você pode exibir informações sobre blocos de acesso de pastas controlados no modo de exibição linha do tempo dispositivo, ao usar a caça avançada ou com regras de detecção personalizadas.

Como funciona o acesso controlado à pasta?

O acesso controlado à pasta funciona apenas permitindo que aplicativos confiáveis acessem pastas protegidas. As pastas protegidas são especificadas quando o acesso controlado à pasta é configurado. Normalmente, pastas comumente usadas, como as usadas para documentos, imagens, downloads e assim por diante, são incluídas na lista de pastas controladas.

O acesso controlado à pasta funciona com uma lista de aplicativos confiáveis. Os aplicativos incluídos na lista de software confiável funcionam conforme o esperado. Os aplicativos que não estão incluídos na lista são impedidos de fazer alterações em arquivos dentro de pastas protegidas.

Os aplicativos são adicionados à lista com base em sua prevalência e reputação. Aplicativos altamente prevalentes em toda a sua organização e que nunca apresentaram qualquer comportamento considerado mal-intencionado são considerados confiáveis. Esses aplicativos são adicionados à lista automaticamente.

Os aplicativos também podem ser adicionados manualmente à lista confiável usando Configuration Manager ou Intune. Ações adicionais podem ser executadas no portal Microsoft Defender.

Por que o acesso controlado à pasta é importante

O acesso controlado à pasta é especialmente útil para ajudar a proteger seus documentos e informações contra ransomware. Em um ataque de ransomware, seus arquivos podem ser criptografados e mantidos reféns. Com o acesso controlado à pasta em vigor, uma notificação é exibida no computador em que um aplicativo tentou fazer alterações em um arquivo em uma pasta protegida. Você pode personalizar a notificação com os detalhes da sua empresa e informações de contato. Você também pode ativar as regras individualmente para personalizar quais técnicas o recurso monitora.

As pastas protegidas incluem pastas comuns do sistema (incluindo setores de inicialização) e você pode adicionar mais pastas. Você também pode permitir que os aplicativos lhes dêem acesso às pastas protegidas.

Você pode usar o modo de auditoria para avaliar como o acesso controlado à pasta afetaria sua organização se ela estivesse habilitada.

Há suporte para acesso a pastas controladas nas seguintes versões do Windows:

• Windows 10, versão 1709 e posterior
• Windows 11
• Windows 2012 R2
• Windows 2016
• Windows Server 2019
• Windows Server 2022

As pastas do sistema Windows são protegidas por padrão

As pastas do sistema Windows são protegidas por padrão, juntamente com várias outras pastas:

As pastas protegidas incluem pastas comuns do sistema (incluindo setores de inicialização) e você pode adicionar pastas adicionais. Você também pode permitir que os aplicativos lhes dêem acesso às pastas protegidas. As pastas de sistemas Windows protegidas por padrão são:

• c:\Users\<username>\Documents
• c:\Users\Public\Documents
• c:\Users\<username>\Pictures
• c:\Users\Public\Pictures
• c:\Users\Public\Videos
• c:\Users\<username>\Videos
• c:\Users\<username>\Music
• c:\Users\Public\Music
• c:\Users\<username>\Favorites

As pastas padrão aparecem no perfil do usuário, em Este COMPUTADOR.

Observação

Você pode configurar pastas adicionais como protegidas, mas não pode remover as pastas do sistema Windows protegidas por padrão.

Requisitos para acesso controlado à pasta

O acesso controlado à pasta requer habilitar Microsoft Defender proteção antivírus em tempo real.

Examinar eventos de acesso controlado de pastas no portal do Microsoft Defender

O Defender para Ponto de Extremidade fornece relatórios detalhados sobre eventos e blocos como parte de seus cenários de investigação de alerta no portal do Microsoft Defender; consulte Microsoft Defender para Ponto de Extremidade em Microsoft Defender XDR.

Você pode consultar Microsoft Defender para Ponto de Extremidade dados usando a caça avançada. Se você estiver usando o modo de auditoria, poderá usar a caça avançada para ver como as configurações de acesso de pasta controladas afetariam seu ambiente se elas estivessem habilitadas.

Exemplo de consulta:

DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')

Examinar eventos de acesso controlado à pasta no Windows Visualizador de Eventos

Você pode examinar o log de eventos do Windows para ver os eventos criados quando a pasta controlada bloqueia (ou audita) um aplicativo:

1. Baixe o Pacote de Avaliação e extraia o arquivocfa-events.xml para um local de fácil acesso no dispositivo.
2. Digite Visualizador de eventos no menu Iniciar para abrir o windows Visualizador de Eventos.
3. No painel esquerdo, em Ações, selecione Importar exibição personalizada....
4. Navegue até onde você extraí cfa-events.xml e selecione-o. Como alternativa, copie o XML diretamente.
5. Selecione OK.

A tabela a seguir mostra eventos relacionados ao acesso controlado à pasta:

ID do Evento	Descrição
5007	Evento quando as configurações são alteradas
1124	Evento de acesso de pasta controlada auditado
1123	Evento de acesso de pasta controlado bloqueado
1127	Evento de bloco de gravação do setor de acesso controlado bloqueado
1128	Evento de bloco de gravação do setor de acesso controlado auditado

Exibir ou alterar a lista de pastas protegidas

Você pode usar o aplicativo Segurança do Windows para exibir a lista de pastas protegidas pelo acesso controlado à pasta.

1. Em seu dispositivo Windows 10 ou Windows 11, abra o aplicativo Segurança do Windows.
2. Select Proteção contra vírus e ameaças.
3. Em Proteção do Ransomware, selecione Gerenciar proteção contra ransomware.
4. Se o acesso controlado à pasta estiver desativado, você precisará ativá-lo. Selecione pastas protegidas.
5. Siga uma das seguintes etapas:
   • Para adicionar uma pasta, selecione + Adicionar uma pasta protegida.
   • Para remover uma pasta, selecione-a e selecione Remover.

Observação

As pastas do sistema Windows são protegidas por padrão e você não pode removê-las da lista. As subpastas também são incluídas na proteção quando você adiciona uma nova pasta à lista.

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.